FIN12 Ransomware Group se dirige activamente a las instituciones sanitarias

La firma de ciberseguridad Mandiant detalló sobre un grupo de ransomware de caza furtiva agresiva: FIN12. El grupo se atribuye a una pandilla rusa, que se centra activamente en los servicios de salud.

Se dice que FIN12 está utilizando malware TrickBot o BazarLoader para el acceso inicial a la red de destino, en lugar de golpear a la víctima directamente a través de medios nativos. Además, no tienden a deshacerse de los datos robados si la víctima no paga, a diferencia de otros grupos de piratería.

Índice de contenidos

    El grupo ruso de ransomware en Wild

    De todas las organizaciones que existen, la atención médica se considera la más sensible en lo que respecta a los pacientes. Y una parada repentina de servicios críticos puede asfixiar a todos. Por lo tanto, se convierten en objetivos lucrativos de los grupos de ransomware.

    Y FIN12 no es diferente, ya que se dirigen principalmente a los servicios de salud, según lo informado por los investigadores de Mandiant. También han notado que las actividades maliciosas de FIN12 contra la industria de la salud han aumentado significativamente últimamente, ya que están cazando furtivamente de manera agresiva.

    FIN12 se atribuye a un grupo de ransomware ruso, que también se conoce como UNC1878, y en funcionamiento desde 2018. Elige a las víctimas en función de sus ingresos, como una barra de al menos $ 300 millones para objetivos de atención médica y otros en los sectores de educación, finanzas, manufactura y tecnología.

    Plan de acceso FIN12

    Y en lugar de realizar cada una de las tareas por sí solo, se dice que el grupo FIN12 está aprovechando en gran medida a los agentes de acceso para realizar negocios rápidos. Estos incluyen BazarLoader y TrickBot, que explotan vulnerabilidades conocidas y desconocidas incorporan dispositivos y esperan un plan de explotación.

    De lo contrario, venden este acceso a grupos de ransomware de terceros que establecen su carga útil para una mayor explotación: cifrado y extorsión. FIN12 hace lo mismo, ya que compran acceso de TrickBot o BazarLoader y despliegan su carga útil, que se dice que es similar a la de Ryuk.

    Si bien la pandilla FIN12 tiene motivaciones financieras, no siguen el ejemplo de otros, como arrojar los datos robados al público si la víctima se niega a pagar. Además, se encuentran utilizando herramientas ofensivas disponibles públicamente como balizas Cobalt Strike para actividades posteriores a la explotación.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir